书籍摘要

《Evading EDR》是由Matt Hand撰写的一本专注于绕过端点检测与响应（EDR）系统的技术书籍。本书深入剖析了EDR的工作原理、检测机制以及攻击者如何通过各种技术手段绕过其检测，是网络安全领域的专业人士、红队成员以及对EDR技术感兴趣的读者的必读之作。

作者简介

Matt Hand是一位资深的攻击性安全专家，长期专注于漏洞研究、规避技术和对抗模拟。他的职业生涯始于一家小型托管公司的安全运营中心，此后一直作为红队操作员，针对全球大型组织开展攻击模拟。Matt对规避技术和安全研究充满热情，本书凝聚了他在该领域的深厚专业知识。

内容概述

本书共分为13章，每章聚焦于EDR的一个特定组件或检测机制，并探讨了相应的绕过技术。以下是各章节的简要介绍：

第1章：EDR架构

介绍了EDR代理的设计、组件及其通用功能，包括传感器、检测逻辑和数据收集机制。同时，讨论了EDR在安全组织中的广泛应用以及攻击者面临的挑战。

第2章：函数挂钩DLL

探讨了EDR如何通过挂钩用户模式函数调用来监控系统行为，以及攻击者如何通过直接系统调用、重新映射DLL等方式绕过这些挂钩。

第3章：进程和线程创建通知

分析了EDR如何通过内核模式驱动程序监控进程和线程的创建事件，以及攻击者如何通过修改进程参数、利用父进程ID欺骗等手段绕过检测。

第4章：对象通知

讨论了EDR如何通过对象管理器的回调机制监控对系统对象（如进程、线程、桌面等）的访问请求，以及攻击者如何通过句柄劫持、权限提升等手段绕过这些检测。

第5章：映像加载和注册表通知

介绍了EDR如何监控文件加载、注册表操作等事件，并通过KAPC注入技术将函数挂钩DLL注入到新进程中。同时，探讨了攻击者如何通过隧道技术、代理工具等方式绕过这些检测。

第6章：文件系统微型过滤器驱动程序

详细介绍了文件系统微型过滤器驱动程序的工作原理及其在EDR中的应用，包括如何监控文件操作、与扫描引擎集成等。此外，还探讨了攻击者如何通过卸载过滤器、注册恶意过滤器等手段绕过检测。

第7章：网络过滤驱动程序

探讨了EDR如何利用Windows过滤平台（WFP）监控网络流量，以及攻击者如何通过分析网络过滤规则、利用配置漏洞等手段绕过网络检测。

第8章：Windows事件跟踪（ETW）

深入分析了ETW技术及其在EDR中的应用，包括如何收集系统事件、监控进程行为等。同时，讨论了攻击者如何通过禁用ETW提供程序、修改事件过滤规则等手段绕过ETW检测。

第9章：扫描器

介绍了EDR中扫描器组件的工作原理，包括如何评估文件和内存内容、检测恶意软件等。此外，还探讨了攻击者如何通过代码混淆、加密等手段绕过扫描器检测。

第10章：反恶意软件扫描接口

讨论了Microsoft引入的反恶意软件扫描接口（AMSI）及其在检测脚本和文件无文件恶意软件中的作用，以及攻击者如何通过字符串混淆、内存执行等手段绕过AMSI检测。

第11章：早期启动反恶意软件驱动程序

介绍了早期启动反恶意软件（ELAM）驱动程序的工作原理及其在保护系统启动过程中的作用，以及攻击者如何通过修改驱动程序签名、利用漏洞等手段绕过ELAM检测。

第12章：Microsoft-Windows-Threat-Intelligence

探讨了Microsoft-Windows-Threat-Intelligence ETW提供程序及其在EDR中的应用，包括如何提供内核级别的检测数据、监控系统行为等。同时，讨论了攻击者如何通过绕过ETW提供程序、利用保护进程等手段绕过检测。

第13章：案例研究：检测感知攻击

通过一个虚构的攻击场景，展示了如何将前几章的知识应用于实际攻击中，包括如何评估检测风险、选择攻击路径、绕过EDR检测等。

适用人群

本书适合以下读者：

• 攻击性安全专家：希望深入了解EDR内部机制，提升攻击技术。
• 防御性安全工程师：需要了解攻击者如何绕过EDR，以便更好地构建防御策略。
• 红队成员：在模拟攻击中需要掌握绕过EDR的实战技巧。
• 网络安全研究人员：对EDR技术及其对抗手段感兴趣，希望深入了解该领域的最新进展。

总结

《Evading EDR》是一本全面、深入且实用的网络安全技术书籍。它不仅详细介绍了EDR的工作原理和检测机制，还提供了丰富的绕过技术实例，帮助读者更好地理解和应对EDR系统。无论是攻击者还是防御者，都能从本书中获得宝贵的知识和启发。本书是网络安全领域不可多得的专业读物，值得每一位安全从业者深入研读。